Tutorial: Creación de reglas de análisis personalizadas para detectar amenazasTutorial: Create custom analytics rules to detect threats

Cuando haya conectado los orígenes de datos con Azure Sentinel, puede crear reglas personalizadas que busquen criterios específicos en el entorno y generen incidentes si se detectan estos criterios para que pueda investigarlos.Once you have connected your data sources to Azure Sentinel, you can create custom rules that can search for specific criteria across your environment and generate incidents when the criteria are matched so that you can investigate them. Este tutorial le ayuda a crear reglas personalizadas para detectar amenazas con Azure Sentinel.This tutorial helps you create custom rules to detect threats with Azure Sentinel.

Este tutorial ayuda a detectar amenazas con Azure Sentinel.This tutorial helps you detect threats with Azure Sentinel.

  • Creación de reglas de análisisCreate analytics rules
  • Automatizar las respuestas frente a amenazasAutomate threat responses

Creación de reglas de análisis personalizadosCreate custom analytics rules

Puede crear reglas de análisis personalizadas que le ayuden a buscar los tipos de amenazas y anomalías que sean sospechosas en el entorno.You can create custom analytics rules to help you search for the types of threats and anomalies that are suspicious in your environment. La regla garantiza que se le notificará de inmediato, de modo que pueda evaluar, investigar y corregir las amenazas.The rule makes sure you are notified right away, so that you can triage, investigate, and remediate the threats.

  1. En Azure Portal en Azure Sentinel, seleccione Analytics.In the Azure portal under Azure Sentinel, select Analytics.

  2. En la barra de menús superior, seleccione +Crear y seleccione Regla de consulta programada.In the top menu bar, select +Create and select Scheduled query rule. Así se abre el Asistente para reglas de Analytics.This opens the Analytics rule wizard.

    Crear una consulta programada

  3. En la pestaña General, especifique unos valores únicos en los campos Nombre y Descripción.In the General tab, provide a unique Name and a Description. En el campo Tactics (Táctica), puede elegir cualquiera de las categorías de ataques por las que se clasifica la regla.In the Tactics field, you can choose from among categories of attacks by which to classify the rule. Establezca la gravedad según sea necesario.Set the alert Severity as necessary. Cuando cree la regla, el valor predeterminado del campo Status (Estado) es Enabled (Habilitado), lo que significa que se ejecutará inmediatamente después de que termine de crearla.When you create the rule, its Status is Enabled by default, which means it will run immediately after you finish creating it. Si no desea ejecutarla de inmediato, seleccione Disabled (Deshabilitado) para agregar la regla a la pestaña Active rules (Reglas activas), desde donde podrá habilitarla cuando sea necesario.If you don’t want it to run immediately, select Disabled, and the rule will be added to your Active rules tab and you can enable it from there when you need it.

    Inicio de la creación de una regla de análisis personalizada

  4. En la pestaña Set rule logic (Establecer lógica de regla), puede escribir una consulta directamente en el campo Rule query (Consulta de búsqueda), o bien crearla en Log Analytics y, después, copiarla y pegarla ahí.In the Set rule logic tab, you can either write a query directly in the Rule query field, or create the query in Log Analytics, and then copy and paste it there.

    Crear una consulta en Azure Sentinel

    • Vea el área Results preview (Vista previa de resultados) de la derecha, donde Azure Sentinel muestra el número de resultados (eventos de registro) que va a generar la consulta, lo que cambia sobre la marcha mientras se escribe y configura la consulta.See the Results preview area to the right, where Azure Sentinel shows the number of results (log events) the query will generate, changing on-the-fly as you write and configure your query. El gráfico muestra el número de resultados en un periodo definido, lo que determina la configuración de la sección Query scheduling (Programación de consultas).The graph shows the number of results over the defined time period, which is determined by the settings in the Query scheduling section.

    • Si ve que su consulta desencadena demasiadas alertas o alertas demasiado frecuentes, puede establecer una base de referencia en la sección Alert threshold (Umbral de alerta).If you see that your query would trigger too many or too frequent alerts, you can set a baseline in the Alert threshold section.

      Aquí tiene una consulta de ejemplo que le alertará cuando se cree una cantidad anómala de recursos en Azure Activity.Here's a sample query that would alert you when an anomalous number of resources is created in Azure Activity.

      AzureActivity
      | where OperationName == "Create or Update Virtual Machine" or OperationName =="Create Deployment"
      | where ActivityStatus == "Succeeded"
      | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller
      

      Nota

      • La longitud de la consulta debe estar entre 1 y 10 000 caracteres y no puede contener las palabras "buscar *" ni "unión *".The query length should be between 1 and 10,000 characters and cannot contain “search *” or “union *”.

      • No se admite el uso de funciones ADX para crear consultas de Azure Data Explorer en la ventana de consulta de Log Analytics.Using ADX functions to create Azure Data Explorer queries inside the Log Analytics query window is not supported.

    1. Use la sección Map entities (Asignar entidades) para vincular parámetros de los resultados de las consultas a entidades reconocidas de Azure Sentinel.Use the Map entities section to link parameters from your query results to Azure Sentinel-recognized entities. Estas entidades forman la base del posterior análisis, lo que incluye la agrupación de alertas en incidentes en la pestaña Incident settings (Configuración de incidentes).These entities form the basis for further analysis, including the grouping of alerts into incidents in the Incident settings tab.

    2. En la sección Query scheduling (Programación de consultas), establezca los siguientes parámetros:In the Query scheduling section, set the following parameters:

      1. Establezca la opción Run query every (Ejecutar consulta cada) para controlar la frecuencia de ejecución de la consulta (puede establecer frecuencias de 5 minutos o de una vez al día).Set Run query every to control how often the query is run - as frequently as every 5 minutes or as infrequently as once a day.

      2. Set Lookup data from the last (Datos de la búsqueda a partir del último) para determinar el periodo de los datos que cubre la consulta (por ejemplo, puede consultar los 10 últimos minutos de datos o las 6 últimas horas de datos).Set Lookup data from the last to determine the time period of the data covered by the query - for example, it can query the past 10 minutes of data, or the past 6 hours of data.

        Nota

        Intervalos de consulta y período de retrospectivaQuery intervals and lookback period

        • Estos dos valores son independientes entre sí, hasta cierto punto.These two settings are independent of each other, up to a point. Puede ejecutar una consulta a un intervalo corto que abarque un periodo mayor que el intervalo (teniendo en efecto consultas que se solapan), pero no puede ejecutar una consulta a un intervalo que supere el periodo de cobertura, ya que, de lo contrario tendrá lagunas en la cobertura general de la consulta.You can run a query at a short interval covering a time period longer than the interval (in effect having overlapping queries), but you cannot run a query at an interval that exceeds the coverage period, otherwise you will have gaps in the overall query coverage.

        Retraso de la ingestaIngestion delay

        • Para tener en cuenta la latencia que puede producirse entre la generación de un evento en el origen y su ingesta en Azure Sentinel, y para garantizar una cobertura completa sin duplicación de datos, Azure Sentinel ejecuta reglas de análisis programadas con un retraso de cinco minutos desde su hora programada.To account for latency that may occur between an event's generation at the source and its ingestion into Azure Sentinel, and to ensure complete coverage without data duplication, Azure Sentinel runs scheduled analytics rules on a five-minute delay from their scheduled time.
    3. Use la sección Alert threshold (Umbral de alerta) para definir una base de referencia.Use the Alert threshold section to define a baseline. Por ejemplo, en Generar alerta cuando el número de resultados de consulta, seleccione Es mayor que y escriba el número 1000 si desea que la regla genere una alerta solo si la consulta genera más de 1000 resultados cada vez que se ejecuta.For example, set Generate alert when number of query results to Is greater than and enter the number 1000 if you want the rule to generate an alert only if the query returns more than 1000 results each time it runs. Este es un campo obligatorio, por lo que si no desea establecer una base de referencia (es decir, si desea que su alerta registre todos los eventos) escriba 0 en el campo numérico.This is a required field, so if you don’t want to set a baseline – that is, if you want your alert to register every event – enter 0 in the number field.

    4. En Agrupación de eventos, elija una de las dos formas de controlar la agrupación de eventos en alertas:Under Event grouping, choose one of two ways to handle the grouping of events into alerts:

      • Agrupar todos los eventos en una misma alerta (la configuración predeterminada).Group all events into a single alert (the default setting). La regla genera una única alerta cada vez que se ejecuta, siempre y cuando la consulta devuelva más resultados de los especificados en el umbral de alerta anterior.The rule generates a single alert every time it runs, as long as the query returns more results than the specified alert threshold above. La alerta incluye un resumen de todos los eventos que se devuelven en los resultados.The alert includes a summary of all the events returned in the results.

      • Desencadenar una alerta para cada evento.Trigger an alert for each event. La regla genera una alerta única para cada evento devuelto por la consulta.The rule generates a unique alert for each event returned by the query. Esto resulta útil si desea que los eventos se muestren individualmente, o si desea agruparlos por determinados parámetros por usuario, nombre de host o cualquier otro elemento.This is useful if you want events to be displayed individually, or if you want to group them by certain parameters - by user, hostname, or something else. Puede definir estos parámetros en la consulta.You can define these parameters in the query.

      En la actualidad, el número de alertas que puede generar una regla se limita a veinte.Currently the number of alerts a rule can generate is capped at 20. Si en una regla determinada, Agrupación de eventos se establece en Desencadenar una alerta para cada evento y la consulta de la regla devuelve más de 20 eventos, cada uno de los primeros 19 eventos generará una alerta única y la vigésima alerta resumirá todo el conjunto de eventos devueltos.If in a particular rule, Event grouping is set to Trigger an alert for each event, and the rule's query returns more than 20 events, each of the first 19 events will generate a unique alert, and the twentieth alert will summarize the entire set of returned events. En otras palabras, la alerta vigésima es lo que se habría generado en la opción Agrupar todos los eventos en una misma alerta.In other words, the twentieth alert is what would have been generated under the Group all events into a single alert option.

      Nota

      ¿Cuál es la diferencia entre eventos y alertas?What's the difference between Events and Alerts?

      • Un eventos es una descripción de una única aparición.An event is a description of a single occurrence. Por ejemplo, una sola entrada de un archivo de registro podría contar como un evento.For example, a single entry in a log file could count as an event. En este contexto, un evento hace referencia a un único resultado devuelto por una consulta en una regla de análisis.In this context an event refers to a single result returned by a query in an analytics rule.

      • Una alerta es una colección de eventos que, en conjunto, son importantes desde el punto de vista de la seguridad.An alert is a collection of events that, taken together, are significant from a security standpoint. Una alerta podría contener un solo evento si el evento tuviera implicaciones de seguridad importantes (por ejemplo, un inicio de sesión administrativo de un país extranjero fuera de horas de oficina).An alert could contain a single event if the event had significant security implications - an administrative login from a foreign country outside of office hours, for example.

      • Por cierto, ¿qué son los incidentes?By the way, what are incidents? La lógica interna de Azure Sentinel crea incidentes a partir de alertas o de grupos de alertas.Azure Sentinel's internal logic creates incidents from alerts or groups of alerts. La cola de incidentes es el punto focal del trabajo: evaluación de prioridades, investigación y corrección del analista.The incidents queue is the focal point of analysts' work - triage, investigation and remediation.

      Azure Sentinel ingiere eventos sin procesar de algunos orígenes de datos y alertas ya procesadas de otros usuarios.Azure Sentinel ingests raw events from some data sources, and already-processed alerts from others. Es importante tener en cuenta con cuál es el que se está tratando en cualquier momento.It is important to note which one you're dealing with at any time.

      Importante

      La agrupación de eventos se encuentra actualmente en versión preliminar pública.Event grouping is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and is not recommended for production workloads. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

    5. In the Suppression (Supresión), en el valor Stop running query after alert is generated (Detener la ejecución de la consulta después de que se genere una alerta), seleccione On (Activar) si, una vez que recibe la alerta, desea suspender la operación de esta reglar durante un periodo que supere el intervalo de consulta.In the Suppression section, you can turn the Stop running query after alert is generated setting On if, once you get an alert, you want to suspend the operation of this rule for a period of time exceeding the query interval. Si lo activa, en Stop running query for (Detener la ejecución de la consulta durante), seleccione el periodo durante el que debe detenerse la consulta, con un máximo de 24 horas.If you turn this on, you must set Stop running query for to the amount of time the query should stop running, up to 24 hours.

  5. En la pestaña Incident Settings (Configuración de incidentes), puede elegir si Azure Sentinel convierte las alertas en incidentes sobre los que se pueden realizar acciones y cómo lo hace.In the Incident Settings tab, you can choose whether and how Azure Sentinel turns alerts into actionable incidents. Si esta pestaña no se modifica, Azure Sentinel creará un solo incidente independiente a partir de todas y cada una de las alertas.If this tab is left alone, Azure Sentinel will create a single, separate incident from each and every alert. Puede elegir que no se creen incidentes o agrupar varias alertas en un solo incidente. Para ello, solo debe cambiar el valor de esta pestaña.You can choose to have no incidents created, or to group several alerts into a single incident, by changing the settings in this tab.

    Importante

    La pestaña Configuración de los incidentes se encuentra actualmente en versión preliminar pública.The incident settings tab is currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and is not recommended for production workloads. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

    1. En la sección Incident Settings (Configuración de incidentes), el valor predeterminado de Create incidents from alerts triggered by this analytics rule (Crear incidentes a partir de alertas desencadenadas por esta regla de análisis) es Enabled (Habilitado), lo que significa que Azure Sentinel creará un solo incidente independiente por cada una de las alertas que desencadene la regla.In the Incident Settings section, Create incidents from alerts triggered by this analytics rule is set by default to Enabled, meaning that Azure Sentinel will create a single, separate incident from each and every alert triggered by the rule.

      • Si no desea que esta regla provoque la aparición de incidentes (por ejemplo, si esta regla es solo para recopilar información para su posterior análisis), seleccione Disabled (Deshabilitado).If you don’t want this rule to result in the creation of any incidents (for example, if this rule is just to collect information for subsequent analysis), set this to Disabled.
    2. En la sección Alert grouping (Agrupación de alertas), si desea que se genere un solo incidente a partir de un grupo de hasta 150 alertas similares o recurrentes (consulte la nota), en Group related alerts, triggered by this analytics rule, into incidents (Agrupar en incidentes alertas relacionadas desencadenadas por esta regla de análisis) seleccione Enabled (Habilitado) y establezca los siguientes parámetros.In the Alert grouping section, if you want a single incident to be generated from a group of up to 150 similar or recurring alerts (see note), set Group related alerts, triggered by this analytics rule, into incidents to Enabled, and set the following parameters.

    • Limite el grupo a las alertas creadas en el período de tiempo seleccionado: Determine el período de tiempo en el que se agruparán las alertas similares o periódicas.Limit the group to alerts created within the selected time frame: Determine the time frame within which the similar or recurring alerts will be grouped together. Todas las alertas correspondientes que se encuentren dentro de este periodo de tiempo generarán colectivamente un incidente o un conjunto de incidentes (en función de la configuración de agrupación que encontrará a continuación).All of the corresponding alerts within this time frame will collectively generate an incident or a set of incidents (depending on the grouping settings below). Las alertas que aparezcan fuera de este periodo de tiempo generarán un incidente, o conjunto de incidentes, independientes.Alerts outside this time frame will generate a separate incident or set of incidents.

    • Agrupe las alertas desencadenadas por esta regla de análisis en un único incidente por: elija el motivo por el que se agruparán las alertas:Group alerts triggered by this analytics rule into a single incident by: Choose the basis on which alerts will be grouped together:

      • Agrupar las alertas en un solo incidente si todas las entidades coinciden: Las alertas se agrupan si comparten los mismos valores entre todas las entidades asignadas (definidas en la pestaña Set rule logic [Establecer lógica de regla] anterior).Group alerts into a single incident if all the entities match: Alerts are grouped together if they share identical values for each of the mapped entities (defined in the Set rule logic tab above). Esta es la configuración recomendada.This is the recommended setting.

      • Agrupar todas las alertas desencadenadas por esta regla en un único incidente: Todas las alertas que genera esta regla se agrupan aunque no compartan valores idénticos.Group all alerts triggered by this rule into a single incident: All the alerts generated by this rule are grouped together even if they share no identical values.

      • Agrupar las alertas en un solo incidente si las entidades seleccionadas coinciden: Las alertas se agrupan si comparten valores idénticos en algunas de las entidades asignadas (que puede seleccionar en la lista desplegable).Group alerts into a single incident if the selected entities match: Alerts are grouped together if they share identical values for some of the mapped entities (that you can select from the drop-down list). Es posible que desee usar esta opción si, por ejemplo, desea crear incidentes independientes basados en las direcciones IP de origen o de destino.You might want to use this setting if, for example, you want to create separate incidents based on the source or target IP addresses.

    • Vuelva a abrir los incidentes coincidentes cerrados: si se ha resuelto y cerrado un incidente y, posteriormente, se genera otra alerta que habría pertenecido a ese incidente, establezca esta opción en Enabled (Habilitado) si quiere que el incidente cerrado se vuelva a abrir, o bien déjela como Disabled (Deshabilitado) si quiere que la alerta cree un incidente nuevo.Re-open closed matching incidents: If an incident has been resolved and closed, and later on another alert is generated that should belong to that incident, set this setting to Enabled if you want the closed incident re-opened, and leave as Disabled if you want the alert to create a new incident.

      Nota

      Se pueden agrupar hasta 150 alertas en un solo incidente.Up to 150 alerts can be grouped into a single incident. Si hay más de 150 alertas generadas por una regla que las agrupa en un solo incidente, se generará un nuevo incidente con los mismos detalles del incidente que el original, y las alertas sobrantes se agruparán en el nuevo incidente.If more than 150 alerts are generated by a rule that groups them into a single incident, a new incident will be generated with the same incident details as the original, and the excess alerts will be grouped into the new incident.

  6. En la pestaña Automated responses (Respuestas automatizadas), seleccione todos los cuadernos de estrategias que desee ejecutar automáticamente cuando la regla personalizada genere una alerta.In the Automated responses tab, select any playbooks you want to run automatically when an alert is generated by the custom rule. Para obtener más información sobre la creación y automatización de cuadernos de estrategias, vea Respuesta a amenazas.For more information on creating and automating playbooks, see Respond to threats.

  7. Seleccione Review and create (Revisar y crear) para revisar todos los valores de la nueva regla de alertas y, después, seleccione Create to initialize your alert rule (Crear para inicializar la regla de alertas).Select Review and create to review all the settings for your new alert rule and then select Create to initialize your alert rule.

  8. Una vez creada la alerta, se agrega una regla personalizada a la tabla en Active rules (Reglas activas).After the alert is created, a custom rule is added to the table under Active rules. Desde esta lista puede habilitar, deshabilitar o eliminar cada regla.From this list you can enable, disable, or delete each rule.

  9. Para ver los resultados de las reglas de alertas que cree, vaya a la página de incidentes, donde puede evaluar las prioridades, investigar los incidentes y solucionar las amenazas.To view the results of the alert rules you create, go to the Incidents page, where you can triage, investigate incidents, and remediate the threats.

Nota

Las alertas generadas en Azure Sentinel están disponibles a través de Seguridad de Microsoft Graph.Alerts generated in Azure Sentinel are available through Microsoft Graph Security. Para obtener más información, vea la documentación sobre alertas de Seguridad de Microsoft Graph.For more information, see the Microsoft Graph Security alerts documentation.

Solución de problemasTroubleshooting

No se pudo ejecutar una regla programada o aparece con el texto AUTO DISABLED agregado al nombreA scheduled rule failed to execute, or appears with AUTO DISABLED added to the name

Es muy poco frecuente que una regla de consulta programada no se ejecute, pero puede ocurrir.It's a rare occurrence that a scheduled query rule fails to run, but it can happen. Azure Sentinel clasifica los errores como transitorios o permanentes, en función del tipo específico del error y de las circunstancias que condujeron a él.Azure Sentinel classifies failures up front as either transient or permanent, based on the specific type of the failure and the circumstances that led to it.

Error transitorioTransient failure

El error transitorio se produce debido a una circunstancia que es temporal y pronto volverá a la normalidad, momento en el que la ejecución de la regla se realizará correctamente.A transient failure occurs due to a circumstance which is temporary and will soon return to normal, at which point the rule execution will succeed. Algunos ejemplos de errores que Azure Sentinel clasifica como transitorios son los siguientes:Some examples of failures that Azure Sentinel classifies as transient are:

  • Una consulta de regla tarda demasiado tiempo en ejecutarse y se agota el tiempo de espera.A rule query takes too long to run and times out.
  • Problemas de conectividad entre orígenes de datos y Log Analytics, o entre Log Analytics y Azure Sentinel.Connectivity issues between data sources and Log Analytics, or between Log Analytics and Azure Sentinel.
  • Cualquier otro error nuevo y desconocido se considera transitorio.Any other new and unknown failure is considered transient.

Cuando se produce un error transitorio, Azure Sentinel sigue intentando volver a ejecutar la regla tras intervalos predeterminados y cada vez mayores, hasta un punto determinado.In the event of a transient failure, Azure Sentinel continues trying to execute the rule again after predetermined and ever-increasing intervals, up to a point. Después, la regla se volverá a ejecutar solo en la siguiente hora programada.After that, the rule will run again only at its next scheduled time. Una regla nunca se deshabilitará automáticamente debido a un error transitorio.A rule will never be auto-disabled due to a transient failure.

Error permanente: deshabilitación automática de la reglaPermanent failure - rule auto-disabled

El error permanente se produce debido a un cambio en las condiciones que permiten la ejecución de la regla y que, sin intervención humana, no volverán a su estado anterior.A permanent failure occurs due to a change in the conditions that allow the rule to run, which without human intervention will not return to their former status. A continuación se muestran algunos ejemplos de errores que se clasifican como permanentes:The following are some examples of failures that are classified as permanent:

  • El área de trabajo de destino (en la que opera la consulta de regla) se ha eliminado.The target workspace (on which the rule query operated) has been deleted.
  • La tabla de destino (en la que opera la consulta de regla) se ha eliminado.The target table (on which the rule query operated) has been deleted.
  • Se quitó Azure Sentinel del área de trabajo de destino.Azure Sentinel had been removed from the target workspace.
  • Una función usada por la consulta de la regla ya no es válida porque se ha modificado o quitado.A function used by the rule query is no longer valid; it has been either modified or removed.
  • Se cambiaron los permisos para uno de los orígenes de datos de la consulta de la regla.Permissions to one of the data sources of the rule query were changed.
  • Uno de los orígenes de datos de la consulta de la regla se ha eliminado o desconectado.One of the data sources of the rule query was deleted or disconnected.

En el caso de un número predeterminado de errores permanentes consecutivos, del mismo tipo y en la misma regla, Azure Sentinel deja de intentar ejecutar la regla y también lleva a cabo los siguientes pasos:In the event of a predetermined number of consecutive permanent failures, of the same type and on the same rule, Azure Sentinel stops trying to execute the rule, and also takes the following steps:

  • Deshabilita la regla.Disables the rule.
  • Agrega las palabras "AUTO DISABLED" (deshabilitada automáticamente) al principio del nombre de la regla.Adds the words "AUTO DISABLED" to the beginning of the rule's name.
  • Agrega el motivo del error (y la deshabilitación) a la descripción de la regla.Adds the reason for the failure (and the disabling) to the rule's description.

Puede determinar fácilmente si se ha deshabilitado automáticamente alguna regla si ordena la lista de reglas por nombre.You can easily determine the presence of any auto-disabled rules, by sorting the rule list by name. Las reglas deshabilitadas automáticamente estarán en la parte superior de la lista o cerca de ella.The auto-disabled rules will be at or near the top of the list.

Los administradores de SOC deben asegurarse de comprobar la lista de reglas periódicamente para comprobar si hay reglas deshabilitadas automáticamente.SOC managers should be sure to check the rule list regularly for the presence of auto-disabled rules.

Pasos siguientesNext steps

En este tutorial ha aprendido a detectar amenazas casos mediante Azure Sentinel.In this tutorial, you learned how to get started detecting threats using Azure Sentinel.

Para aprender a automatizar las respuestas a las amenazas, consulte Configuración de respuestas automatizadas frente a amenazas en Azure Sentinel.To learn how to automate your responses to threats, Set up automated threat responses in Azure Sentinel.